介绍数字证书

  • 5 分钟

当今现代世界许多领域都应用了加密技术。 你已了解加密如何确保消息的机密性。 你还了解了如何使用数字签名中的哈希代码来验证消息未被篡改。 在本单元中,你将了解数字证书以及它们如何提供额外的安全保障层。

证书处理了在数字通信中可能发生的不道德人员拦截、改变或伪造消息的可能性。

实质上,数字证书是由“证书颁发机构”颁发的凭据 (CA),可用于验证颁发证书的个人或实体的身份,称为使用者。 从这个意义上说,数字证书类似于由受信任的机构或政府机构颁发的护照或其他标识凭据,用于验证身份。 证书中的数据包括有关使用者的信息、使用者的公钥(来自其公钥/私钥对),并由 CA 进行验证。

若要获取数字证书,个人或实体将认证请求提交到信誉良好的 CA。 请求者身份及其公钥的详细信息(来自可用工具生成的公钥/私钥对)将包含在证书请求中。 在某些情况下,请求者可能希望 CA 代表其发出密钥对,作为请求的一部分。 在这两种情况下,私钥总是由个人或实体保密。 CA 会评审请求中提交的所有身份信息,以确定它是否满足 CA 颁发证书的条件。 如果 CA 批准该请求,它将进行签名并颁发一个证书,其中包含有关使用者和使用者公钥的信息。

数字证书的寿命往往为一年,之后证书过期。 发生这种情况时,你会看到有关证书过期的警告消息。 该警告指示无法确认使用者的身份。

数字证书的常见应用程序(对用户可见)位于基于 Web 的通信中。 数字证书由使用安全 HTTPS 通信的网站使用,并通过浏览器地址栏中的挂锁图标表示。 选择地址栏上的挂锁会提供了多个选项,可选择这些选项并提供额外信息。

Diagram showing padlock icon on website address bar.

选择“连接是安全的”,提供有关连接的信息,如下图所示。

The site has a valid certificate issued by a trusted authority. Information will be securely sent to the site and can't be intercepted.

选择证书图标提供有关数字证书的详细信息。

This image provides details about the digital certificate. Information provided includes the purpose of the certificate, to whom it was issued, who issued the certificate, and for how long the certificate is valid.

为什么需要数字证书?

在前面的单元中,我们介绍了非对称加密过程以及如何使用公钥/私钥对。 在本示例中,Quincy 和 Monica 希望安全地通信,因此他们使用现成的软件各自生成密钥对。 Monica 和 Quincy 彼此共享公钥,但保留其机密私钥。 当 Quincy 想要发送安全消息给 Monica 时,Quincy 会使用 Monica 的公钥来加密并发送消息。 Monica 使用其私钥对消息进行解密。

如此示例中所述,使用非对称加密可确保消息的机密性。 由于公钥是公共的,因此,无法验证 Quincy 使用的公钥真的来自 Monica。 同样的,也无法验证消息实际上是由 Quincy 发送的。 不道德的人就有可能拦截、改变或伪造消息。 数字证书在解决此风险方面发挥着重要作用。

假设 Monica 已获得由信誉良好的 CA 颁发的数字证书,并与 Quincy 共享。 证书将 Monica 的身份与公钥链接。 由于 Quincy 在 Monica 证书中使用公钥,因此,Quincy 保证公钥来自 Monica,只有 Monica 的私钥才能解密消息。

假设 Quincy 也获得了由信誉良好的 CA 颁发的数字证书。 Quincy 使用他的私钥对消息进行数字签名。 Quincy 将签名的消息连同包含其公钥的数字证书一起发送给 Monica。 数字证书将 Quincy 的身份链接到公钥,因此,在证书中使用公钥可以验证消息是否被篡改,并验证消息是否来自 Quincy。 如果没有数字证书,数字签名仅用于验证消息尚未被篡改。